coindesk.com
Eine 13-Block-Chain-Reorganisation bei am späten Freitag und Samstag setzte etwa 32 Minuten der Netzwerkaktivität zurück, nachdem Angreifer eine Schwachstelle im Mimblewimble Extension Block (MWEB)-Protokoll ausgenutzt hatten.
Der Fehler ermöglichte einen Denial-of-Service-Angriff gegen große Mining-Pools, wodurch ungültige MWEB-Transaktionen durch Nodes, die nicht aktualisiert wurden, durchrutschen konnten, bevor die längste gültige Kette des Netzwerks diese korrigierte.
Litecoin Core v0.21.5.4 released! All users are advised to upgrade. This release contains important security updates. https://t.co/6vtrhdXi4c
— Litecoin (@litecoin) April 25, 2026
Die Stiftung gab am Sonntag während der asiatischen Morgenstunden bekannt, dass der Fehler vollständig behoben wurde und das Netzwerk normal funktioniert.
Prominente Forscher berichten jedoch, dass das Litecoin-Projekt-GitHub-Repository eine andere Geschichte erzählt. Der Sicherheitsforscher bbsz, der mit der SEAL911-Notfallreaktionsgruppe für Krypto-Exploits zusammenarbeitet, veröffentlichte die Patch-Zeitlinie, die aus dem öffentlichen Commit-Protokoll extrahiert wurde.
Now that stuff has been made public on the Litecoin GitHub, we have a better sense of timeline and what happened.
— bbsz (@blackbigswan) April 26, 2026
In the age of Mythos, this timeline simply doesn't fly.
The post-mortem says one zero-day caused a DoS that let an invalid MWEB tx slip through. The git log on… https://t.co/zMMrheQLPP pic.twitter.com/O3DtdwV0rF
Die Konsens-Schwachstelle, die den ungültigen MWEB-Peg-Out ermöglichte, wurde zwischen dem 19. März und dem 26. März privat behoben, etwa vier Wochen vor dem Angriff. Eine separate Denial-of-Service-Schwachstelle wurde am Morgen des 25. April behoben.
Beide Korrekturen wurden am selben Nachmittag, nachdem der Angriff bereits begonnen hatte, in die Version 0.21.5.4 integriert.
"Der Post-Mortem-Bericht besagt, dass eine Zero-Day-Schwachstelle einen DoS verursachte, der es einer ungültigen MWEB-Transaktion ermöglichte, durchzugleiten," schrieb bbsz. "Das Git-Log erzählt jedoch eine leicht abweichende Geschichte."
Ein Zero-Day bezeichnet eine zum Zeitpunkt eines Angriffs den Verteidigern unbekannte Sicherheitslücke.
Die Commit-Historie von Litecoin zeigt, dass die Konsensus-Schwachstelle bekannt war und einen Monat vor dem Exploit privat behoben wurde, jedoch wurde der Fix nicht öffentlich verbreitet oder für alle Mining-Pools verpflichtend gemacht.
Dies schuf ein Zeitfenster, in dem einige Miner den gepatchten Code ausführten, während andere weiterhin die noch verwundbare Version nutzten, und die Angreifer scheinen genau gewusst zu haben, welche Version welche war.
Alex Shevchenko, CTO des Aurora-Projekts der NEAR Foundation, hat parallele Bedenken in einem Thread.
Blockchain-Daten zeigten, dass der Angreifer 38 Stunden vor dem Exploit eine Wallet über eine Binance-Auszahlung vorgeladen hatte, wobei die Zieladresse bereits so konfiguriert war, dass $LTC auf einer dezentralen Börse in ETH getauscht wird.
Der Denial-of-Service-Angriff und der MWEB-Fehler waren separate Komponenten, argumentierte Shevchenko, wobei der DoS darauf ausgelegt war, gepatchte Mining-Knoten offline zu nehmen, damit die ungepatchten die Kette bildeten, die die ungültigen Transaktionen enthielt.
Die Tatsache, dass das Netzwerk die 13-Block-Reorganisation automatisch bewältigte, sobald der DoS-Angriff beendet war, deutet darauf hin, dass genügend Rechenleistung mit aktualisiertem Code lief, um den Angriff letztlich zu überwinden – jedoch erst nachdem die ungepatchte Gabel 32 Minuten lang aktiv war.
Ein Treffer bei Litecoin zeigt, wie sich Angriffe auf verschiedene Netzwerke darin unterscheiden, wie Code-Maintainer und Entwickler auf Exploits reagieren. Neuere Chains mit kleineren, zentralisierteren Validator-Gruppen koordinieren Upgrades über Chat-Gruppen und können Patches netzwerkweit innerhalb von Stunden ausrollen.
Ältere Proof-of-Work-Netzwerke wie Litecoin und Bitcoin verlassen sich darauf, dass unabhängige Mining-Pools selbst entscheiden, wann sie ein Upgrade durchführen. Dies funktioniert bei nicht dringenden Änderungen, schafft jedoch ein Sicherheitsfenster, wenn ein Sicherheitsupdate alle erreichen muss, bevor ein Angreifer die Lücke ausnutzt.
Die Litecoin Foundation hat den GitHub-Zeitplan bis Sonntagmorgen öffentlich nicht kommentiert.
Die während des Zeitfensters der ungültigen Blöcke ausgegebenen Mengen an $LTC sowie der Wert etwaiger vor der Reorganisation abgeschlossener Swaps, die diese rückgängig machten, wurden nicht bekannt gegeben.